Viren, Spyware, Datenschutz 11.250 Themen, 94.777 Beiträge

Verfolgung starten Optionen

Daten wie IP etc. über email Sender über Header erfahren

Tobivan Hernobi / 4 Antworten / Baumansicht Nickles

Ist es möglich, aus dem Header einer email tatsächlich auf den echten Sender und dessen IP etc. zurückzuschließen? Also nicht bloß auf die domain, z.B. web.de usw?

bei Antwort benachrichtigen
GarfTermy Tobivan Hernobi „Daten wie IP etc. über email Sender über Header erfahren“
Optionen

"...auf den echten Sender und dessen IP etc. zurückzuschließen? ..."

da man emails komplett faken kann... nein. nicht wirklich.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
T-Rex Tobivan Hernobi „Daten wie IP etc. über email Sender über Header erfahren“
Optionen

Ja und nein. Du mußt die Received-Zeilen chronologisch ordnen. Die IP, die die Mail bei Deinem Provider abgeliefert hat, ist die letzte verifizierbare IP.
Und hier ist der Haken an der Sache: Die Received-Zeilen können, wie alles andere auch, gefälscht sein. Du kannst also nur die definitiv zuordnen, die Dir und Deinem Provider gehören. Die IP, die die Mail abgeliefert hat, ist die letzte IP in der Kette, die nachprüfbar ist. Ist das nicht die letzte IP in der Received-Kette, kannst Du nicht darauf vertrauen, daß die anderen IPs tatsächlich existieren und/oder gültig sind.

 GrüßeT-Rex 
bei Antwort benachrichtigen
greg-cu Tobivan Hernobi „Daten wie IP etc. über email Sender über Header erfahren“
Optionen

Doch, Du kannst aus dem Mailheader die IP des Absenders herauslesen.
Eine ausführliche Anleitung findest Du z.B. hier:
http://sites.inka.de/ancalagon/faq/headerfaq.php3.
Der Provider kann dann mit IP, Datum und Uhrzeit herausfinden, welcher seiner Kunden das war.

Gruß greg

mistakes are another opportunity to refine
bei Antwort benachrichtigen
xafford greg-cu „Doch, Du kannst aus dem Mailheader die IP des Absenders herauslesen. Eine...“
Optionen

Die Informationen dort sind zwar natürlich richtig, aber nur, wenn alles nach Spezifikation abläuft. Da SMTP ein Verbindungsloses Protokoll ist lässt sich jedoch der Vorgang des Mail-Schickens komplett blind abwickeln und somit kann eine IP problemlos gefaket werden ohne man-in-the-middle, ARP-Poisoning oder DNS-Poisoning.
Zwar trägt der Empfängerserver zu dem gemeldeten Hostnamen im HELO [EHLO] auch noch eine IP ein, die wird aber meist nicht verifiziert, oder wenn doch, dann meist nur über einen DNS-Check, der durchaus gültig sein kann trotz gespooften Paketen. Da die meisten Provider Mails, die in ihre Zuständigkeit fallen direkt annehmen kann man so eine komplette Mail spoofen. Das einzige, was eventuell dabei verräterisch ist sind die einzelnen Zeiten im Header.

In den allermeisten Fällen wird jedoch kaum jemand so einen Aufwand betreiben wenn er eh über eine DialUp-Verbindung spammt.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen